2023年7月17日发(作者：)

6⼤开源SIEM⼯具，安全信息和事件管理的“利器”为了保护IT环境免受⽹络攻击并遵守严格的合规标准，安全信息和事件管理（SIEM）系统正在成为越来越多企业实施的安全范例的基⽯。有专门的平台提供⼀体化SIEM解决⽅案，如LogRhythm，QRadar和ArcSight。这些解决⽅案当然价格昂贵，特别是在长期和⼤型企业中，因此越来越多的企业正在寻找开源SIEM平台。但是，是否有⼀个包含所有基本SIEM元素的开源平台？简单回答是“没有”。没有所有功能于⼀⾝的完美的开源SIEM系统。现有的解决⽅案要么缺乏核⼼SIEM功能，如事件关联和报告，要么需要与其他⼯具结合使⽤。然⽽，有⼀些不错的开源选择。lienVault的统⼀安全管理（USM）产品的开源版本OSSIM可能是更受欢迎的开源SIEM平台之⼀。OSSIM包括关键的SIEM组件，即事件收集，处理和规范化，最重要的是事件关联。OSSIM将本地⽇志存储和关联功能与众多开源项⽬结合在⼀起，以构建完整的SIEM。OSSIM中包含的开源项⽬列表包括FProbe，Munin，Nagios，NFSen / NFDump，OpenVAS，OSSEC，PRADS，Snort，Suricata和TCPTrack。OpenVAS的引⼊特别引起⽤户的兴趣，因为OpenVAS通过将IDS⽇志与漏洞扫描结果关联起来⽤于漏洞评估。正如⽤户所期望的那样，开源OSSIM不像其商业“⽼⼤哥”那样功能丰富。这两种解决⽅案都适⽤于⼩型部署，但OSSIM⽤户在规模上遇到重⼤性能问题，最终将他们推向商⽤产品。例如，OSSIM的开源版本中的⽇志管理功能⼏乎不存在。 StackELK Stack或Elastic Stack如今正在重新命名，可以说是⽬前在SIEM系统中⽤作构建块的最受欢迎的开源⼯具。模块化的完整的SIEM系统？不，因为ELK Stack是否符合“⼀体化”SIEM系统的资格有很⼤的争议空间。ELK Stack由开源产品Elasticsearch，Logstash，Kibana和Beats系列⽇志传送组成。Logstash是⼀个⽇志聚合器，可以收集和处理来⾃⼏乎任何数据源的数据。它可以过滤，处理，关联并且通常增强它收集的任何⽇志数据。Elasticsearch是存储引擎，是其时间序列数据存储和索引领域的最佳解决⽅案之⼀。 Kibana是堆栈中的可视化层，它是⼀个⾮常强⼤的可视化层。Beats包括各种轻量级⽇志传送，负责收集数据并通过Logstash将其发送到堆栈。Logstash使⽤各种输⼊插件来收集⽇志。但是，它也可以接受更多专⽤解决⽅案（如OSSEC或Snort）的输⼊。结合起来，ELK Stack的⽇志处理，存储和可视化功能在功能上是⽆与伦⽐的。然⽽，对于SIEM⽽⾔，ELK Stack⾄少在其原始开源格式中缺少⼀些关键组件。⾸先，没有内置的报告或警报功能。这是⼀个已知的痛点，不仅对于尝试将堆栈⽤于安全性的⽤户⽽且对于更常见的⽤例来说也是如此——例如IT操作。警报可以通过使⽤X-Pack（Elastic的商业产品）或通过添加开源安全附件来添加。也没有可以使⽤的内置安全规则。这使得堆栈在处理资源和运营成本⽅⾯成本更⾼。SSEC是⼀种流⾏的开源主机⼊侵检测系统（HIDS），可与各种操作系统（包括Linux，Windows，MacOS，Solaris以及OpenBSD和FreeBSD）协同⼯作。OSSEC本⾝分为两个主要组件：负责收集来⾃不同数据源的⽇志数据的管理器（或服务器），以及负责收集和处理⽇志并使其更易于分析的应⽤程序。OSSEC直接监视主机上的多个参数。这包括⽇志⽂件，⽂件完整性，rootkit检测和Windows注册表监视。OSSEC可以从其他⽹络服务（包括⼤多数流⾏的开源FTP，邮件，DNS，数据库，Web，防⽕墙和基于⽹络的IDS解决⽅案）执⾏⽇志分析。OSSEC还可以分析来⾃许多商业⽹络服务和安全解决⽅案的⽇志。OSSEC有许多警报选项，可以⽤作⾃动⼊侵检测或主动响应解决⽅案的⼀部分。OSSEC有⼀个原始的⽇志存储引擎。默认情况下，来⾃主机代理的⽇志消息不会保留。分析完成后，OSSEC将删除这些⽇志，除⾮OSSEC管理器⽂件中包含选项。如果启⽤此选项，OSSEC将来⾃代理的传⼊⽇志存储在每⽇轮换的⽂本⽂件中。 Metron从架构的⾓度来看，Metron依靠其他Apache项⽬来收集，传输和处理安全数据。 Apache Nifi和Metron探针从安全数据源收集数据，然后将这些数据推送到单独的Apache Kafka中。事件随后被解析并归⼀化为标准的JSON，然后被强化并在某些情况下被标记。如果确定某些事件类型，则可以触发警报。为了可视化，使⽤Kibana（尽管是过时的版本）对于存储，事件被索引并保存在Apache Hadoop中，并且基于企业的⾸选项在Elasticsearch或Solr中保存。在这些数据的基础上，Metron提供了⼀个界⾯，⽤于集中分析数据，并提供警报摘要和丰富的数据。Metron在某些⽅⾯仍然缺乏。Metron只能安装在有限数量的操作系统和环境中，尽管它通过Ansible⽀持⾃动化场景并通过Docker安装（仅限Mac和Windows）。UI有点不成熟，并且不⽀持⾝份验证。sterSIEMonster是另⼀位年轻的SIEM玩家，但也是⾮常受欢迎的⼀员，短短两年内下载量超过10万次。SIEMonster基于开源技术，可作为付费解决⽅案（Premium和MSSP多租户）免费提供。虽然SIEMonster使⽤⾃⼰的“monster”术语来命名系统中不同的SIEM功能（例如Kraken），但底层组件是众所周知的开源技术。ELK Stack⽤于收集（Filebeat和Logstash），处理，存储和可视化所收集的安全数据。RabbitMQ⽤于队列。SearchGuard⽤于在Elasticsearch和ElastAlert之上进⾏加密和⾝份验证以进⾏警报。从功能的⾓度来看，SIEMonster包含了我们希望获得的所有好东西，每⼀种都可以通过主菜单访问 - ⽤于搜索和可视化数据的Kibana UI，⽤于威胁情报的UI，⽤于创建和管理基于事件的通知的警报。其他集成的开源⼯具是DRADIS，OpenAudit和FIR。SIEMonster可以使⽤Docker容器部署在云上，这意味着跨系统更容易移植，但也可以在VM和裸机（Mac，Ubuntu，CentOS和Debian）上移植。⽂档⾮常丰富，但缺少在线版本。e与OSSIM类似，Prelude是⼀个统⼀各种其他开源⼯具的SIEM框架。和OSSIM⼀样，它也是同名商业⼯具的开源版本。Prelude旨在填补像OSSEC和Snort这样的⼯具被忽略的⾓⾊。Prelude接受来⾃多个来源的⽇志和事件，并使⽤⼊侵检测消息交换格式（IDMEF）将它们全部存储在单个位置。它提供过滤，关联，警报，分析和可视化功能。与OSSIM⼀样，与所有这些功能的商业产品相⽐，Prelude的开源版本很受限，这可能是为什么它不是⾮常流⾏的原因。引⽤官⽅⽂档：“Prelude OSS旨在在⾮常⼩的环境中进⾏评估，研究和测试。请注意，Prelude OSS的表现远低于Prelude SIEM版本。“总结：完整的SIEM解决⽅案包括从各种数据源收集信息，长时间保留信息，在不同事件之间关联，创建关联规则或警报，分析数据并使⽤可视化和仪表板监控数据的能⼒。回答很多这些要求，ELK Stack被本⽂中列出的许多开源SIEM系统使⽤并⾮巧合。OSSEC Wazuh，SIEMonster，Metron，都有ELK。但是ELK⾃⾝缺乏⼀些关键的SIEM组件，例如关联规则和事件管理。根据以上分析，简单的结论是，“⼀个⼀体化的开源SIEM解决⽅案”并没有明确的赢家。在实施基于上述解决⽅案的SIEM系统时，就功能⽽⾔或者与其他开源⼯具相结合，你很可能会发现⾃⼰受到限制。⽤于SIEM的开源⼯具功能多样且功能强⼤。但是，他们需要⼤量的专业知识，最重要的是要正确部署。正因为如此，商业产品仍然在SIEM领域占据主导地位，即使开源⼯具是这些商业产品的核⼼。为你处理80％的SIEM解决⽅案要⽐⾃⼰完成所有⼯作要好。商业解决⽅案可处理安装，基本配置，并为最常见的使⽤情况提供过滤器，关联配置和可视化设计。不要低估这些商业功能的价值：在当今的数据中⼼中有数量看起来⽆限可观的事件，⽽且我们都没有时间⼿动配置应⽤程序来监控它们。